建设银行任意取钱漏洞

admin

漏洞概要 关注数(233) 关注此漏洞

缺陷编号： WooYun-2012-15569
+ O! ]6 G8 A8 a! k/ _' \
漏洞标题： 中国建设银行刷人民币漏洞

相关厂商： 建设银行

漏洞作者： only_guest
2 Y- j4 M6 j: y8 J1 J
' e! L, @  h: l" m" U% @- p提交时间： 2012-12-03

漏洞类型： 设计缺陷/逻辑错误
2 D+ g. s) O, s* c. S" ?
$ o% W0 ^' X1 B9 ~1 J6 P危害等级： 高
5 r; _' u) [0 p" c$ y
漏洞状态： 已交由第三方厂商(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org
- I9 K7 e& [5 X
Tags标签： 无
8 X. s1 Y6 r0 K2 [& O8 W
! m* t5 @$ X1 c, u8 e8 D/ [$ I

20人收藏收藏
& H( }7 B2 b' l& F分享漏洞：
35
+ D4 W/ ^2 w" e+ z( S% |
6 v( q. J8 @" U--------------------------------------------------------------------------------

/ X, ], M, z# s8 j) |) E, B* O( p漏洞详情
! a2 y" z( a4 ~2 G! d6 R
' u; o+ b0 n# C. X3 v披露状态：

) }! V7 G. w2 }6 v$ `* G  D( X

2012-12-03： 细节已通知厂商并且等待厂商处理中
% j- k7 i$ A- m! q  y6 \$ f; o2012-12-04： 厂商已经确认，细节仅向厂商公开
2 g1 w2 c7 \) }8 I- s2 X0 @* Y

3 \& v# c$ o: F简要描述：

% ^9 d2 ~) z% A$ u& @, l3 ^偶然测试发现.就让我再做次标题党吧,我就刷了90块钱...
5 [' y2 M! h) F4 o1 G+ ]+ i; D 测试用的.你们收回去就是了.我是良民.

& o" K6 g9 B6 l. }; r漏洞hash：47b3d87350e20095c8f314b7b6405711
. g* {% G/ @" Z, z
版权声明：转载请注明来源 only_guest@乌云

--------------------------------------------------------------------------------

2 A* v" Z2 h5 J1 r/ I漏洞回应

厂商回应：

- |: g& d0 ^, {0 D$ C7 E7 }! Q  C危害等级：高

* w6 |( l, I: w" x- b+ ]/ @漏洞Rank：12
. R$ P0 b9 E0 `7 w* g: A$ ^
. [- f1 V# c  Z. v% }6 \确认时间：2012-12-04
! g. _; G5 g# X, L, H' K
5 ~6 `, ~+ i! D: U厂商回复：

' N  g( u2 }, G. ^/ j( K3 h4 D. OCNVD确认漏洞情况，已经转由CNCERT在4日联系建设银行处置，待后续处置反馈。
5 w; l$ U3 n2 W8 s' `
6 V- l, f. d. j, L: F3 a9 W' R同时，近期此类订单篡改（或支付篡改）漏洞在一些网上商城或支付网站频发，对于POST方式提交以及订单未进行一致性校验是构成风险的主要原因。

按部分影响完整性、可用性进行评分，基本危害评分6.42(中危)，发现技术难度系数1.1，涉及行业或单位影响系数1.7，综合rank=12.00